seguranÇa contra intrusÃo em redes informÁticasrecipp.ipp.pt › bitstream › 10400.22 › 1883...
TRANSCRIPT
-
SEGURANÇA CONTRA INTRUSÃO EM REDES
INFORMÁTICAS
Nuno Filipe Lopes da Costa Duarte
Mestrado em Engenharia Electrotécnica e de Computadores
Área de Especialização de Telecomunicações
Departamento de Engenharia Electrotécnica
Instituto Superior de Engenharia do Porto
2008
-
Este relatório satisfaz, parcialmente, os requisitos que constam da Ficha de Disciplina
de Tese/Dissertação, do 2º ano, do Mestrado em Engenharia Electrotécnica e de
Computadores
Candidato: Nuno Filipe Lopes da Costa Duarte, Nº 1980937, [email protected]
Orientação científica: Jorge Botelho da Costa Mamede, [email protected]
Mestrado em Engenharia Electrotécnica e de Computadores
Área de Especialização de Telecomunicações
Departamento de Engenharia Electrotécnica
Instituto Superior de Engenharia do Porto
20 de Dezembro de 2008
-
iv
-
v
Dedico este trabalho ao meu irmão e esposa, Fernando e Carla Duarte.
-
vi
-
vii
Agradecimentos
Este trabalho não poderia ser desenvolvido sem o apoio de algumas pessoas, às quais deixo
aqui os meus sinceros agradecimentos:
Ao Professor Doutor Jorge Mamede – que aceitou a orientação desta tese – pela ajuda e
aconselhamento prestados ao longo de todo o projecto. O seu auxílio e dedicação no
desenvolvimento da tese foram essenciais para concluir este projecto com sucesso.
Um agradecimento especial aos meus pais, irmão e esposa, pelo apoio dado, sem o
qual não seria possível embarcar neste projecto.
Finalmente, agradeço a todos os colegas e amigos que, directa ou indirectamente,
colaboraram ou contribuíram, das mais diversas formas, para a conclusão da dissertação.
A todos o meu sincero muito obrigado.
-
ix
Resumo
Devido ao facto de hoje em dia a informação que é processada numa rede informática
empresarial, ser cada vez mais de ordem confidencial, torna-se necessário que essa
informação esteja o mais protegida possível. Ao mesmo tempo, é necessário que esta
a informação esteja disponível com a devida rapidez, para os parceiros certos, num
mundo cada vez mais globalizado.
Com este trabalho pretende-se efectuar o estudo e implementação da segurança, numa
pequena e genérica rede de testes, que facilmente seja extrapolada, para uma rede da
dimensão, de uma grande empresa com potenciais ramificações por diversos locais.
Pretende-se implementar/monitorização segurança quer externamente, (Internet
service provider ISP) quer internamente (activos de rede, postos de
trabalho/utilizadores). Esta análise é baseada na localização (local, wireless ou
remota), e, sempre que seja detectada qualquer anomalia, seja identificada a sua
localização, sendo tomadas automaticamente acções de protecção.
Estas anomalias poderão ser geridas recorrendo a ferramentas open source ou
comerciais, que façam a recolha de toda a informação necessária, e tomem acções de
correcção ou alerta mediante o tipo de anomalia.
-
xi
Abstract
By the fact of nowadays the information that is processed in an enterprise network,
must be each time, more than confidential, it becomes necessary to protect this
information. At the same time, it is necessary to provide this informatation to become
available as soon as possible, for the certain partners, with the globalization of the
world.
With this work, it is intended to study and implement security guard, in a small
generic network prototype. In this case, is easily to export to network with a
dimension of a great company, with potential ramifications, in diverse places.
It is intended to implement/monitoring external security, (Internet service to sevice
provider ISP), or internal security (networking equipment, servers, hosts or users).
This analizes is based in the localization (local, remote or wireless), and whenever any
anomaly is detected, and it can identifyed quickly, being taken an automatically
protection.
These anomalies could be managed appealing to the commercial or open source tools,
which make possible to get all the necessary information, and take the necessaries
measures of alerting or correcting that type of anomaly.
-
1980937 – Nuno Filipe Duarte xiii
Índice
AGRADECIMENTOS ............................................................................................................................... VII
RESUMO ................................................................................................................................................. IX
ABSTRACT .............................................................................................................................................. XI
ÍNDICE .................................................................................................................................................. XIII
ÍNDICE DE FIGURAS ............................................................................................................................. XIX
ÍNDICE DE TABELAS ........................................................................................................................... XXIII
NOTAÇÃO E GLOSSÁRIO ..................................................................................................................... XXV
1. INTRODUÇÃO .................................................................................................................................. 1
1.1. CONTEXTO ............................................................................................................................. 1
1.2. CONTRIBUTOS ........................................................................................................................ 2
1.3. APRESENTAÇÃO E PLANEAMENTO .......................................................................................... 3
1.3.1. PLANEAMENTO DE PROJECTO ............................................................................................ 3
1.3.2. REUNIÕES DE ACOMPANHAMENTO .................................................................................... 4
1.4. ORGANIZAÇÃO DO RELATÓRIO ............................................................................................... 4
2. VULNERABILIDADES E AMEAÇAS ................................................................................................... 7
2.1. VULNERABILIDADES DE SOFTWARE ....................................................................................... 8
2.2. ATAQUES ............................................................................................................................. 10
2.2.1. ATAQUES POR RECONHECIMENTO ................................................................................... 11
2.2.2. ATAQUES POR OBTENÇÃO DE ACESSO .............................................................................. 12
2.2.3. DENIAL OF SERVICE (DOS) .............................................................................................. 13
2.2.4. COMO EVITAR ATAQUES DOS OU DDOS? ........................................................................ 14
2.2.5. ATAQUE “MAN IN THE MIDDLE” (MITM) ...................................................................... 14
2.2.6. ARP POISONING E ARP SPOOFING ................................................................................... 15
2.2.7. DHCP SPOOFING ............................................................................................................. 15
2.2.8. DNS SPOOFING E DNS POISONING .................................................................................. 16
2.2.9. REDIRECCIONAMENTO DE ICMP ..................................................................................... 16
-
xiv
2.3. DETECÇÃO DE PALAVRAS-PASSE .......................................................................................... 16
2.3.1. DEDUÇÃO ........................................................................................................................ 17
2.3.2. SNIFFERS DE REDES ......................................................................................................... 17
2.3.3. FORÇA BRUTA ................................................................................................................. 17
2.3.4. ATAQUE DE DICIONÁRIO .................................................................................................. 18
2.4. ENGENHARIA SOCIAL ........................................................................................................... 18
2.5. CÓPIAS DE SEGURANÇA ........................................................................................................ 19
2.6. REDES FÍSICAS DE COBRE OU FIBRA ÓPTICA ......................................................................... 20
2.7. REDES WIRELESS ................................................................................................................. 21
2.7.1. REDE SEM SEGURANÇA .................................................................................................... 23
2.7.2. REDE PROTEGIDA POR WEP ............................................................................................ 24
2.7.3. REDES PROTEGIDAS POR 802.11I ..................................................................................... 27
2.7.4. REDES PROTEGIDAS POR WPA OU WPA2 ....................................................................... 28
2.8. RESUMO ............................................................................................................................... 31
3. POLÍTICAS E PROCEDIMENTOS DE SEGURANÇA DE SISTEMAS .................................................... 33
3.1. DEFINIÇÃO DE POLÍTICAS DE SEGURANÇA ............................................................................ 33
3.2. FACTORES QUE INFLUENCIAM A POLÍTICA DE SEGURANÇA ................................................... 36
3.3. DEFINIÇÃO DAS POLÍTICAS E PROCEDIMENTOS DE SEGURANÇA ............................................ 37
3.3.1. PALAVRAS-PASSE DE ADMINISTRADOR............................................................................ 38
3.3.2. DOCUMENTAÇÃO DA INSTALAÇÃO E CONFIGURAÇÃO ..................................................... 39
3.3.3. POLÍTICAS DE BACKUP E RESTAURO DE SISTEMAS ........................................................... 40
3.3.4. PRECAUÇÕES CONTRA ENGENHARIA SOCIAL ................................................................... 41
3.4. SINCRONIZAÇÃO DE RELÓGIOS E TIME ZONE ........................................................................ 42
3.5. MONITORIZAÇÃO DE LOGS E ALERTAS ................................................................................. 43
3.6. DNS ..................................................................................................................................... 44
3.7. DNS REVERSO ...................................................................................................................... 45
3.8. WHOIS .................................................................................................................................. 45
3.9. ELIMINAÇÃO DE PROTOCOLOS SEM CRIPTOGRAFIA .............................................................. 46
3.10. FIREWALLS ............................................................................................................................ 47
3.10.1. A ESCOLHA DE UM FIREWALL ..................................................................................... 47
-
xv
3.10.2. LOCALIZAÇÃO DAS FIREWALLS .................................................................................. 48
3.10.3. CRITÉRIOS DE FILTRAGEM DAS FIREWALLS ................................................................. 49
3.10.4. EXEMPLOS DE IMPLEMENTAÇÕES DE FIREWALLS ....................................................... 50
3.11. SISTEMAS DE DETECÇÃO E MONITORIZAÇÃO ACTIVA ........................................................... 53
3.11.1. IDS ............................................................................................................................. 54
3.11.2. NETWORK IDS OU NIDS ............................................................................................ 54
3.11.3. HOST IDS OU HIDS .................................................................................................... 54
3.11.4. ASSINATURAS ............................................................................................................. 55
3.11.5. LOCALIZAÇÃO DOS SISTEMAS IDS .............................................................................. 55
3.11.6. VULNERABILIDADES DA DETECÇÃO ............................................................................ 56
3.11.7. RESPOSTA À DETECÇÃO DE INTRUSÃO ........................................................................ 56
3.12. VIRTUAL PRIVATE NETWORK (VPN) .................................................................................... 57
3.13. RESUMO ............................................................................................................................... 58
4. SEGURANÇA DE INFRAESTRUTURAS E SISTEMAS ......................................................................... 61
4.1. REDES DE COBRE OU FIBRA ÓPTICA ...................................................................................... 61
4.2. REDES WIRELESS .................................................................................................................. 63
4.2.1. POLÍTICA DE UTILIZAÇÃO DA REDE WIRELESS ................................................................. 63
4.2.2. TOPOLOGIA ..................................................................................................................... 64
4.2.3. ENCRIPTAÇÃO E AUTENTICAÇÃO ..................................................................................... 65
4.2.4. REDES PROTEGIDAS POR 802.1X ..................................................................................... 65
4.2.5. ACCESS POINTS ............................................................................................................... 67
4.2.6. PROTECÇÃO AOS CLIENTES WIRELESS ............................................................................ 68
4.2.7. MONITORIZAÇÃO DA REDE WIRELESS ............................................................................ 68
4.3. PREPARAÇÃO DA INSTALAÇÃO DE SISTEMAS ........................................................................ 69
4.4. ESTRATÉGIAS DE DEFINIÇÃO DE PARTIÇÕES ......................................................................... 70
4.5. DESACTIVAÇÃO DE SERVIÇOS NÃO UTILIZADOS ................................................................... 71
4.6. ANTI-VÍRUS E DETECTORES DE VÍRUS ................................................................................... 72
4.7. INSTALAÇÃO E VERIFICAÇÃO DE ACTUALIZAÇÕES ............................................................... 73
4.8. PREVENÇÃO DE ABUSO DE RECURSOS................................................................................... 74
4.8.1. CONTROLE DE RELAY EM SERVIDORES SMTP ................................................................. 74
-
xvi
4.8.2. CONTROLE DE ACESSO A PROXIES WEB ............................................................................ 75
4.8.3. FILTRAGEM DE CONTEÚDOS WEB ..................................................................................... 76
4.9. RESUMO ............................................................................................................................... 76
5. DEFINIÇÃO DA REDE DE ESTUDO.................................................................................................. 79
5.1. INTRODUÇÃO ........................................................................................................................ 79
5.2. ARQUITECTURA DA REDE ..................................................................................................... 79
5.2.1. EQUIPAMENTOS ............................................................................................................... 82
5.2.2. SERVIDORES E POSTOS DE TRABALHO .............................................................................. 83
5.2.3. ACTIVOS DE REDE ............................................................................................................ 88
5.3. IDENTIFICAÇÃO DE FALHAS E VULNERABILIDADES .............................................................. 89
5.3.1. INSTALAÇÃO DOS SISTEMAS ............................................................................................ 89
5.3.2. RECONHECIMENTO EXTERNO .......................................................................................... 89
5.3.3. ACESSO À REDE DE COBRE OU FIBRA ............................................................................... 90
5.3.4. ACESSO À REDE WIRELESS ............................................................................................... 93
5.3.5. SERVIÇOS E APLICAÇÕES ................................................................................................. 97
5.3.6. ACESSO A RECURSOS INTERNOS OU EXTERNOS ................................................................ 98
5.3.7. VULNERABILIDADES DO SERVIDOR DE E-MAIL ............................................................... 100
5.3.8. ABUSO DE RECURSOS .................................................................................................... 101
5.3.9. ACESSOS REMOTOS ........................................................................................................ 102
5.4. RESUMO ............................................................................................................................. 103
6. APLICAÇÃO DE SEGURANÇA À REDE DE ESTUDO ....................................................................... 105
6.1. INTRODUÇÃO ...................................................................................................................... 105
6.2. ARQUITECTURA DA REDE ................................................................................................... 106
6.2.1. EQUIPAMENTOS ............................................................................................................. 108
6.2.2. SERVIDORES E POSTOS DE TRABALHO ............................................................................ 110
6.2.3. ACTIVOS DE REDE .......................................................................................................... 137
6.3. TESTES E ANÁLISE DE RESULTADOS ................................................................................... 139
6.3.1. INSTALAÇÃO DOS SISTEMAS .......................................................................................... 139
6.3.2. RECONHECIMENTO EXTERNO ........................................................................................ 140
6.3.3. ACESSO À REDE DE COBRE ............................................................................................. 140
-
xvii
6.3.4. ACESSO À REDE WIRELESS ............................................................................................. 145
6.3.5. SERVIÇOS E APLICAÇÕES ............................................................................................... 147
6.3.6. VULNERABILIDADES DO SERVIDOR DE CORREIO. ........................................................... 150
6.3.7. ACESSOS A RECURSOS ................................................................................................... 155
6.3.8. ACESSOS REMOTOS. ....................................................................................................... 160
6.4. RESUMO ............................................................................................................................. 161
7. CONCLUSÕES .............................................................................................................................. 163
7.1. OBJECTIVOS REALIZADOS .................................................................................................. 165
7.2. LIMITAÇÕES & TRABALHO FUTURO .................................................................................... 166
7.3. APRECIAÇÃO FINAL ............................................................................................................ 167
BIBLIOGRAFIA...................................................................................................................................... 169
ANEXO 1 SHOREWALL ................................................................................................................. 171
ANEXO 2 SARG ............................................................................................................................. 174
ANEXO 3 DANSGUARDIAN ........................................................................................................... 177
ANEXO 4 FREERADIUS ................................................................................................................. 178
ANEXO 5 NAGIOS ......................................................................................................................... 185
ANEXO 6 CONFIGURAÇÃO NTOP ............................................................................................... 188
ANEXO 7 FICHEIROS DE SIMULAÇÃO DE E-MAIL NÃO FIDEDIGNO ............................................. 189
-
xix
Índice de Figuras
Figura 1 – Decifragem chave WEP ......................................................................................... 25
Figura 2 – Verificação da integridade de um pacote WEP ...................................................... 26
Figura 3 – Cíclo das Políticas de Segurança............................................................................ 34
Figura 4 – Um exemplo simples de firewall ............................................................................ 50
Figura 5 – Um exemplo complexo de firewall ........................................................................ 52
Figura 6 – Localização dos sistemas IDS ................................................................................ 55
Figura 7 – Ferramenta de pesquisa de máquinas na rede ........................................................ 63
Figura 8 – Ferramenta de alteração do endereço MAC ........................................................... 63
Figura 9 – Infra-estrutura física ............................................................................................... 80
Figura 10 – Arquitectura da rede de estudo ............................................................................. 81
Figura 11 – (Não) Atribuição de políticas de segurança no Windows .................................... 83
Figura 12 – Configuração do DHCP com atribuição endereços por MAC ............................. 84
Figura 13 – Definição de política de envío de mails no Exchange ......................................... 85
Figura 14 – Tabela de Routing das redes ................................................................................ 86
Figura 15 – Configuração da Rede Local ................................................................................ 87
Figura 16 – Configuração Wireless do Access Point .............................................................. 89
Figura 17 – Consulta de endereços IP/MAC ........................................................................... 91
Figura 18 – Pesquisa de endereços IP já atribuídos ................................................................. 91
Figura 19 – Configurações da rede local ................................................................................. 92
Figura 20 – Alteração do endereço MAC com o SMAC 2.0................................................... 92
Figura 21 – Configurações da rede local ................................................................................. 93
Figura 22 – Selecção do Router para filtragem de tráfego ...................................................... 94
Figura 23 – Selecção do filtro, canal, e MAC, na captura do tráfego ..................................... 94
Figura 24 – Configurações gerais do WinAirCrack ................................................................ 95
-
xx
Figura 25 – Configurações de computação do WinAirCrack .................................................. 96
Figura 26 – Ecrã de escolha da rede Wi-Fi ............................................................................. 96
Figura 27 – Descoberta da chave de rede (WinAirCrack) ....................................................... 96
Figura 28 – Consulta dos registos de firewall ......................................................................... 97
Figura 29 – Ecrãs de erro e falha não esperada ....................................................................... 97
Figura 30 – MBSA para as actualizações ................................................................................ 98
Figura 31 – Consulta de configurações de acesso ................................................................... 98
Figura 32 – Pesquisa de serviços ............................................................................................. 98
Figura 33 – Obtenção da conta de acesso FTP ........................................................................ 99
Figura 34 – Obtenção da Conta de Acesso Webmail .............................................................. 99
Figura 35 – Vulnerabilidade de acesso ao servidor de correio interno .................................. 100
Figura 36 – Configurações do Spamhaus .............................................................................. 100
Figura 37 – Validação de abuso de recursos de utilizadores para o exterios ......................... 101
Figura 38 – Monitorização de tráfego na linha para o exterior ............................................. 102
Figura 39 – Vulnerabilidade de acesso ao Suse 11 via ssh .................................................... 103
Figura 40 – Infra-estrutura física ........................................................................................... 106
Figura 41 – Infra-estrutura lógica .......................................................................................... 108
Figura 42 – Configuração de políticas de segurança (palavras-chave) ................................. 111
Figura 43 – Consola do Etrust ............................................................................................... 112
Figura 44 – Instalação remota do Anti-vírus ......................................................................... 112
Figura 45 – Definição da Política de Actualização dos Postos ............................................. 114
Figura 46 – Windows Update Services ................................................................................. 115
Figura 47 – Configuração DHCP para múltiplas Vlan´s ....................................................... 115
Figura 48 – Configuração Radius dos Clientes switch e AP ................................................. 116
Figura 49 – Configuração da autenyicação Radius para os utilizadores ............................... 117
Figura 50 – Configuração do administrador com palavra-chave segurança .......................... 118
Figura 51 – Interface Web para Acesso Ferramentas de gestão ............................................ 125
Figura 52 – Relatório de E-mail para o Anti-vírus e Anti-spam ........................................... 129
-
xxi
Figura 53 – Reconfiguração do Exchange por ecaminhamento para o Mail Relay .............. 136
Figura 54 – Anti-vírus do posto de trabalho .......................................................................... 136
Figura 55 – Configuração do Access Point com segurança 802.1x ...................................... 139
Figura 56 – Ligação sem autenticação .................................................................................. 141
Figura 57 – Ligação com autenticação .................................................................................. 141
Figura 58 – Ligação à Vlan 2, rede 120 ................................................................................ 142
Figura 59 – Conecção à Vlan 3, rede 130 .............................................................................. 143
Figura 60 – Validação no IAS e atribuição de IP à Vlan 3.................................................... 143
Figura 61 – Autenticação com um utilizador falso ................................................................ 144
Figura 62 – Tentativa de acesso por ip fixo........................................................................... 144
Figura 63 – Obtenção do utilizador de EAP .......................................................................... 145
Figura 64 – Interface de monitorização do Nagios ................................................................ 146
Figura 65 – Alerta do nagios ao administrador ..................................................................... 146
Figura 66 – Consulta dos registos de firewall ....................................................................... 147
Figura 67 – Interface Web de análise da firewall .................................................................. 147
Figura 68 – Interface Web de análise da firewall .................................................................. 148
Figura 69 – MBSA para as políticas de actualizações ........................................................... 148
Figura 70 – MBSA para as actualizações .............................................................................. 149
Figura 71 – Relatório da consola do servidor de Anti-vírus .................................................. 149
Figura 72 – Relatório da consola do Anti-vírus do posto de trabalho ................................... 150
Figura 73 – Amostras para simulação de e-mails não fidedignos ......................................... 151
Figura 74 – Caixa de correio do Administrator ..................................................................... 154
Figura 75 – Caixa de correio do Spamdb .............................................................................. 154
Figura 76 – Configurações do Spamcop................................................................................ 155
Figura 77 – Obtenção da Conta de Acesso Webmail (Encriptada) ....................................... 156
Figura 78 – Acesso ao servidor de e-mail ............................................................................. 157
Figura 79 – Acesso negado à internet .................................................................................... 157
Figura 80 – Acesso autorizado à internet .............................................................................. 158
-
xxii
Figura 81 – Bloqueio de Conteúdos ...................................................................................... 158
Figura 82 – Estatísticas de controlo de acessos. .................................................................... 159
Figura 83 – Estatísticas de análise de tráfego. ....................................................................... 159
Figura 84 – relatório de análise de tráfego. ........................................................................... 160
Figura 85 – Configuração do cliente openvpn. ...................................................................... 160
Figura 86 – Ligação por openvpn. ......................................................................................... 161
-
xxiii
Índice de Tabelas
Tabela 1 – Configuração dos Interfaces no Ntop .................................................................. 131
-
xxv
Notação e Glossário
3DES Triple Data Encryption Standard – é um padrão de encriptação de
dados baseado no algoritmo DES desenvolvido pela IBM em 1974.
802.1X Standard da IEEE para o controlo de acesso à rede, usado nas redes
802.11 como mecanismo de autenticação. É baseado no EAP.
AAA Authentication, Authorization, Accounting. São os três
procedimentos básicos da segurança da informação. Verificar a
identificação do utilizador que requere a informação; dar
permissões ao utilizador para usar / modificar essa informação;
controlar os acessos dos utilizadores aos recursos do sistema.
AES Advanced Encryption Standard
AIX Advanced IBN Unix
ARP Address Resolution Protocol – é um protocolo usado para encontrar
um endereço Ethernet – Media Access Control (MAC) address – a
partir do endereço IP.
ASCII American Standard Code for Information Interchange – é uma
codificação de caracteres de sete bits baseada no alfabeto inglês
AP Access Point – é um dispositivo de uma rede sem fios que realiza a
conexão entre todos os dispositivos móveis.
-
xxvi
Backups O conceito de backup ou cópia de segurança está relacionado com
a necessidade constante de guardar cópias de informação relevante,
normalmente em dispositivos físicos diferentes, prevenindo
situações de falhas e outros incidentes nos dados originais.
Actualmente, é comum os backups serem guardados em
localizações geográficas distantes prevenindo catástrofes maiores
como incêndios, roubos e terramotos.
Bridge É o termo utilizado em informática para designar um dispositivo
que liga duas ou mais redes informáticas que usam protocolos
distintos ou iguais, ou dois segmentos da mesma rede que usam o
mesmo protocolo.
BSS Basic Service Set
CCMP Counter Mode Cipher Block Chaining MAC Protocol
Cluster É um conjunto de computadores que se interligam através de um
sistema não fragmentado. Tem por objectivo dividir um certo
processamento de dados com outras máquinas ligadas na mesma
rede para acelerar o tempo total de processamento.
DC Domain Controler – Controlador de Domínio da Directoria Activa
da Microsoft
DNS Domain Name System – (Sistema de Nomes de Domínios) é um
sistema de gestão e atribuição de nomes hierárquico.
DHCP É um protocolo que define um conjunto de regras usadas por
dispositivos de comunicação tais como um router ou placa de rede,
permitindo a estes dispositivos pedir e obter endereços IP de um
servidor contendo uma lista de endereços disponíveis para
atribuição.
-
xxvii
Dial-Up É um tipo de acesso à Internet no qual uma pessoa usa um modem
e uma linha telefónica para se ligar a um nó de uma rede de
computadores do ISP.
DMZ Delimitarized Zone. Para a segurança de computadores, DMZ é a
área de rede que permanece entre a rede interna de uma
organização e uma rede externa, em geral a internet. Normalmente,
uma DMZ contém equipamentos apropriados para o acesso à
internet, como servidores web (HTTP), servidores de transferência
de arquivos (FTP), servidores de e-mail (SMTP) e servidores DNS.
EAP-TLS Extensible Authentication Protocol (Transport Layer Security) –
Protocolo de segurança usado em redes sem fios. Proporciona alta
segurança a sistemas de rede wi-fi.
Ethernet É uma tecnologia de interligação para redes locais – Local Area
Networks (LAN) – baseada no envio de pacotes.
Firewall É um dispositivo de uma rede de computadores que tem por função
regular o tráfego de rede entre redes distintas e impedir a
transmissão e/ou recepção de dados nocivos ou não autorizados de
uma rede para outra.
Firmware É um tipo de software que controla directamente o hardware. É
armazenado permanentemente num chip de memória de hardware,
como uma ROM ou EPROM ou em memória flash tipo EEPROM.
Exs.: BIOS de computador, Leitores CD, micro-ondas digital, iPod,
dispositivos com display, entre outros.
Framework No desenvolvimento do software, uma framework ou
enquadramento é um ambiente integrado de suporte ao
desenvolvimento de projectos de software. Uma framework pode
incluir programas de suporte, bibliotecas de código, linguagens de
scripting e outros módulos para auxiliar no desenvolvimento e unir
diferentes componentes de um projecto de software.
-
xxviii
FTP File Transfer Protocol – é um protocolo de transferência de
ficheiros através da Internet bastante rápido e versátil.
Gateway Um Gateway, ou porta de ligação, é uma máquina intermediária
geralmente destinada a interligar redes, separar domínios de
colisão, ou mesmo traduzir protocolos.
Get Um dos métodos do objecto “form” (GET|POST), para transmissão
de informação em formulários via internet. Enquanto que o GET
anexa os dados inseridos ao URL, o método POST junta-os aos
cabeçalhos http.
GPL General Public License – é a designação da licença para software
livre idealizada por Richard Stallman no final da década de 1980,
no âmbito do projecto GNU da Free Software Foundation (FSF).
Hacker Hacker é o termo originário do inglês usado para designar pessoas
que criam e modificam software e hardware de computadores.
Actualmente, é usado para designar crackers, ou seja, pessoas que
praticam actos ilegais ou sem ética.
Host Um Host pode ser considerado um qualquer dispositivo físico com
capacidade de conexão a uma rede, identificando-se através de um
IP, permitindo a transmissão de informação de/para outros hosts.
http HyperText Transfer Protocol – Protocolo de transferência de
Hipertexto.
HTML HyperText Markup Language – Linguagem de anotação de
documentos.
HP OpenView Procurve Manager
Procurve Manager Plus (PMP) – é um produto de gestão de redes
da OpenView do grupo Hewlett Packard. Este protocolo utiliza
SNMP para comunicar com os componentes de uma rede,
possibilitando a auto-descoberta, monitorização e controlo remotos.
-
xxix
HTTPS HyperText Transfer Protocol Secure – é uma implementação do
protocolo HTTP sobre uma camada SSL ou TLS. Esta camada
adicional permite que os dados sejam transmitidos através de uma
conexão encriptada e verifica a autenticidade do servidor e do
cliente através de certificados digitais.
ICMP Internet Control Message Protocol – é um protocolo integrante do
Protocolo IP, definido pelo RFC 792, e utilizado para fornecer
relatórios de erros à fonte original.
IEEE Institute of Electrical & Electronics Engineers, Inc.
IP Internet Protocol – é um protocolo usado entre duas ou mais
máquinas em rede para encaminhamento dos dados.
IRIX Silicon Graphics Unix
ISEP Instituto Superior de Engenharia do Porto
ISP Internet Service Provider – é um fornecedor de serviços que
oferece acesso à Internet.
Kerberos É o nome de um protocolo de transporte de rede, que permite
comunicações individuais seguras e identificadas, numa rede
insegura.
Kernel Núcleo de um sistema operativo. Representa a camada de software
mais próxima do hardware, sendo responsável por gerir os recursos
do sistema operativo.
LAN Local Área Network – Redes de Acesso Local: redes de pequena
escala, reduzidas normalmente a um andar ou edifício.
Linux É o termo geralmente usado para designar qualquer sistema
operativo que utilize o kernel Linux desenvolvido por Linus
Torvalds.
-
xxx
MAC Media Access Control – é o endereço físico da interface de rede.
MD5 Message Digest 5 Algorithm
MITM Man In The Middle – técnica de forjar uma identidade, colocando-
se entre duas entidades numa comunicação
MTU Master Terminal Unit – Unidade principal vulgo máquina central.
Multiplexer Um multiplexador, mux ou multiplexer é um dispositivo que
codifica as informações de duas ou mais fontes de dados num único
canal.
NTP Network Time Protocol – é um protocolo desenvolvido para
permitir a sincronização dos relógios dos sistemas de uma rede de
computadores.
Overhead O overhead é geralmente considerado qualquer processamento ou
armazenamento em excesso, seja de tempo de computação, de
memória, de largura de banda ou qualquer outro recurso que seja
requerido para ser utilizado ou gasto para executar uma
determinada tarefa.
PDA Personal Digital Assistant – Dispositivo portátil, normalmente com
ecrã táctil, que tem algumas funcionalidades que o assemelham a
um pequeno computador, como gestão de documentos, jogos,
internet, e-mail, comunicação sem fios, entre outras. Usado em
grande parte para processamento de pedidos, p. ex. em empresas de
restauração.
PIN Personal Identification Number ou Número de Identificação
Pessoal
-
xxxi
PKI Public Key Infrastructure – é um órgão ou iniciativa pública ou
privada que tem como objectivo manter uma estrutura de emissão
de chaves públicas, baseando-se no princípio da terceira parte
confiável, oferecendo uma mediação de credibilidade e confiança
em transacções entre partes que utilizam certificados digitais.
POP3 Post Office Protocol version 3 – protocolo de recepção de mail
Post Método do objecto “form” que permite juntar os dados de um
formulário aos cabeçalhos http. Os dados não persistem, como no
método GET, mas por outro lado não há a limitação do tamanho do
URL, dado que os dados são “invisíveis”.
PPPoE Point-to-Point Protocol over Ethernet – é um protocolo para
conexão de clientes de uma rede IP à Internet.
PPP Point-To-Point Protocol – é um protocolo que foi desenvolvido e
padronizado através da RFC 1548 (1993) com o objectivo de
transportar todo o tráfego entre 2 dispositivos de rede através de
uma conexão física única.
Prompt Nos sistemas operativos que dispõe de modo de linha de comando
a prompt é constituída por um ou mais símbolos que indicam o
local a partir do qual o utilizador deve digitar uma instrução num
terminal de comandos.
PSK Pre-shared Key
Radius Remote Authentication Dial In User Service – é um protocolo
AAA para aplicações para acesso à rede de computadores e
mobilidade através de rede IP.
RC4 É o algoritmo de encriptação de fluxos de dados muito popular
utilizado em protocolos, como SSL (para proteger o tráfego
Internet) e WEP (para a segurança de redes sem fios).
-
xxxii
RPC Remote Procedure Call – Chamadas a procedimentos remotos
Router É um equipamento usado para fazer a comutação de protocolos, a
comunicação entre diferentes redes de computadores provendo a
comunicação entre computadores distantes entre si.
RSN Robust Security Network
Scripting
Language
É uma linguagem baseada em guiões/comandos que é interpretada
linha a linha. Estes tipos de linguagens são executados por
interpretadores específicos.
SHA-1 Secure Hashing Algorithm 1
SNMP Simple Network Management Protocol – é um protocolo de gestão
típico de redes TCP/IP, da camada de aplicação, que facilita o
intercâmbio de informação entre os dispositivos de rede, como
placas e comutadores.
SMTP Simple Mail Transfer Protocol – é o protocolo padrão para envio
de e-mails através da Internet.
SMS Short Message Service – Serviço de Mensagens Curtas.
Socket É o ponto terminal de uma comunicação bidireccional através de
uma rede IP entre dois programas.
SSH Secure Shell – é simultaneamente, um programa de computador e
um protocolo de rede que permite a conexão com outro computador
na rede, de forma a executar comandos de uma unidade remota.
SSID Service Set Identifier
ODBC Open Data Base Connectivity – é um padrão para acesso a
servidores de bases de dados.
TCP/IP Conjunto de protocolos de Internet que implementa um modelo por
camadas para troca de dados.
-
xxxiii
Telnet É um protocolo cliente-servidor de comunicações usado para
permitir a comunicação entre computadores ligados numa rede
baseada em TCP.
TCP Transmission Control Protocol – é um protocolo do nível da
camada de transporte (camada 4) do Modelo OSI e é sobre o qual
assentam a maioria das aplicações web, como o SSH, FTP, HTTP,
a World Wide Web.
TKIP Temporal Key Integrity Protocol.
TLS/SSL Transport Layer Security / Secure Socket Layer – são protocolos de
encriptação que fornecem comunicação segura na Internet para
serviços como e-mail (SMTP), navegação (HTTP) e outros tipos de
transferência de dados.
Trojan Trojan Horse é um programa que entra num computador e liberta
uma porta para um possível invasor (vírus).
UDP User Datagram Protocol – significa Protocolo de Datagramas do
Utilizador e faz a entrega de mensagens independentes, designadas
por datagramas, entre aplicações ou processos, em sistemas host.
Unix Unix é um sistema operativo multitarefa e multiutilizador
originalmente criado por Ken Thompson, que trabalhava nos
Laboratórios Bell (Bell Labs) da AT&T.
UPS Uninterruptible Power Supply – Fonte ininterrupta de tensão DC,
que permite mantém máquinas ligadas durante um período de
tempo aquando de falhas de corrente.
VPN Virtual Private Network – é uma rede de comunicações privada
normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituições, construída em cima de uma rede de
comunicações pública (como por exemplo, a Internet).
-
xxxiv
WEP Wireless Encryption Protocol – sistema baseado num segredo
partilhado, só conhecido entre os terminais e os Access Points. No
entanto, apresenta deficiências técnicas, as quais podem ser
quebradas em muito pouco tempo.
WPA O WPA surgiu como alternativa ao 802.11i, de forma a proteger
eficazmente as redes Wi-Fi. O Wi-Fi é baseado no draft 3.0 do
802.11i, lançado em 2002, sendo na prática um RSN “incompleto”,
pois só possui TKIP sem CCMP e não possui qualquer tipo de
suporte ao modo Ad-hoc.
XML eXtensible Markup Language – É um subtipo de SGML (Standard
Generalized Markup Language) ou Linguagem Padronizada de
Marcação Genérica capaz de descrever diversos tipos de dados.
-
1
1. INTRODUÇÃO
Este é o capítulo que dá início à tese de Mestrado que tem por tema a “Segurança contra
intrusão em redes informáticas”. O amplo conceito de redes, a generalização e globalização
dos sistemas informáticos, está cada vez mais em voga na sociedade, e em especial, em
Portugal, pela sua actual evolução neste campo. Neste capítulo introdutório, serão descritos
alguns dos aspectos do desenvolvimento deste projecto e algumas características sobre o
seu teor tecnológico. Também serão feitas algumas observações relativas aos objectivos
propostos à organização desta tesa.
1.1. CONTEXTO
No passado, a “segurança da informação”, era um termo usado para descrever as medidas
de segurança físicas, usadas para manter a informação vital do governo ou negócio
protegido. Esta protecção seria do alcance público, e, devia ser evidente contra consulta,
alterações ou destruição. Isto foi feito, armazenando originais valiosos em armários, ou
cofres fechados de arquivo, e restringindo o acesso físico às áreas onde os originais eram
mantidos.
Com o crescimento do número de computadores e de meios electrónicos, a forma de obter
dados mudou. À medida que a tecnologia continuou a evoluir, os sistemas
computadorizados foram interligados, para dar origem às redes. Esta interligação permitiu
-
2
que os sistemas partilhassem recursos, chegando finalmente à principal rede, publicamente
acessível, a Internet. Embora os métodos de assegurar a informação mudem
constantemente, o conceito da segurança das redes permanece o mesmo que o da segurança
da informação.
Uma vez que os computadores podem armazenar, recuperar, e processar grandes
quantidades de dados, são usados em quase tudo nas nossas vidas. As redes, e a Internet,
são uma parte integral de muitos negócios, e a nossa dependência dos computadores
continua a aumentar. Enquanto os negócios e os indivíduos se tornam mais confortáveis
com tecnologia, levam a avanços da tecnologia, sendo elaborados sistemas, cada vez mais
amigáveis e mais fáceis de interligar.
Um sistema computadorizado, requer ferramentas automatizadas, para proteger os dados
dos utilizadores que têm acesso local aos sistemas. Sempre que um utilizador esteja ligado
a uma rede, requer que os dados processados nesse sistema estejam protegidos, não apenas
do acesso local, de eventuais acessos remotos não autorizados, e, da intercepção ou
alteração durante a sua transmissão.
Pretende-se então, desenvolver um estudo e apresentar algumas soluções técnicas para uma
rede empresarial, de forma ir de encontro às necessidades e exigências específicas das
organizações.
A partir do estudo dos requisitos do sistema, e da extensa pesquisa das soluções
existentes, serão determinadas as características necessárias para as ferramentas a
desenvolver. A solução encontrada deverá ir de encontro às necessidades de um modo
geral das organizações em que estas se inserem.
1.2. CONTRIBUTOS
A presente Tese abrange, uma área importante da monitorização e segurança de redes
informáticas. Geralmente, neste domínio, recorrem-se a ferramentas open source ou então
proprietários (quando possível), e protocolos de comunicação padrão, para interligar
equipamentos locais e remotos. Neste contexto, irão ser analisados este tipo de sistemas, e
estudado o problema da segurança em rede, particularizando-se as soluções que o mercado
disponibiliza. A solução a adoptar, deverá assegurar a funcionalidade, a estabilidade e
minimizar o custo associado à sua exploração. Esta solução deverá aferir com eficácia, o
-
3
nível das ameaças existentes, nas redes empresariais de acesso à Internet. Por outro lado,
deverá ser possível, aprender mais sobre as ferramentas, tácticas e motivos da
comunidade “hacker”.
A informação obtida, permite desenvolver estratégias para proteger de forma mais
eficaz, as redes informáticas, contra as ameaças existentes, e novos tipos de ataques na
Internet.
A área da segurança informática tem sido puramente defensiva. O problema inerente a
esta abordagem, prende-se com o facto do intruso, ter sempre a iniciativa. Desta forma,
está sempre um passo à frente, que faz com que seja difícil, proteger eficazmente uma
rede de comunicações. As soluções implementadas neste projecto abordam o problema
de uma forma pró-activa visando mitigar este problema.
1.3. APRESENTAÇÃO E PLANEAMENTO
A tese de Mestrado em Engenharia Electrotécnica – Área de especialização em
Telecomunicações – foi elaborada no âmbito de um projecto proposto ao Instituto Superior
de Engenharia do Porto (ISEP). O projecto teve a duração aproximada de um ano e foi
desenvolvido no ISEP no Departamento de Engenharia Electrotécnica, e, teve como
orientador o Professor Doutor Jorge Mamede por parte ISEP.
1.3.1. PLANEAMENTO DE PROJECTO
Este projecto foi organizado em seis fases, definidas da seguinte forma:
Fase 1 – Estudo dos problemas a limitar ou eliminar com a segurança;
Fase 2 – Análise de métodos e ferramentas usadas para melhoria da segurança de redes;
Fase 3 – Definição de uma rede de estudo;
Fase 4 – Implementação das soluções estudadas para segurança da rede;
Fase 5 – Definição e execução de teste à segurança da rede;
Fase 6 – Escrita da Tese.
-
4
1.3.2. REUNIÕES DE ACOMPANHAMENTO
As reuniões de acompanhamento que ocorreram ao longo deste trabalho, à medida que as
datas para a previsão de conclusão das fases anteriormente definidas iam sendo atingidas,
datando-se da seguinte forma:
Fase 1 – Final de Dezembro de 2007
Fase 2 – Final de Março de 2008
Fase 3 – Final de Abril de 2008
Fase 4 – Final de Junho de 2008
Fase 5 – Final de Julho de 2008
Fase 6 – Meados de Setembro de 2008
1.4. ORGANIZAÇÃO DO RELATÓRIO
Esta tese é composta pelo estudo da área de segurança e monitorização, para conhecer
equipamentos existentes, soluções e tecnologias utilizadas. São apresentadas soluções,
descrito o hardware utilizado e o software desenvolvido. As funcionalidades do projecto
são apresentadas, seguidas de uma conclusão, onde se apresenta um estudo das ferramentas
desenvolvidas, e de uma proposta de melhoramentos. De uma forma mais detalhada,
relatório é composto pelos capítulos a seguir enunciados.
O capítulo 1 consiste na apresentação da tese. É definida a calendarização do trabalho e a
estrutura da tese desenvolvida.
O capítulo 2 corresponde à análise de vulnerabilidades e da forma como podem ser usadas,
para tirar partido do sistema por parte de terceiros. São também tratadas as ameaças mais
comuns, em redes ethernet e wi-fi (Local Area Network - LAN), e enunciadas formas de
evitar esses ataques.
O capítulo 3 pretende descrever, de forma extensa e pormenorizada, as regras e métodos
necessários para a implementar um sistema de forma correcta e segura. São definidos
conceitos de políticas de segurança, e, referidas formas para obter uma configuração
óptima. Ainda neste capítulo, é visto como configurar e verificar um sistema, utilizando
sistemas de monitorização e eliminando protocolos inseguros, bem como a definição e
configuração de firewalls e acessos externos seguros.
-
5
No capítulo 4 são enunciadas estratégias, para implementar soluções físicas e lógicas para
obter um melhor rendimento e desempenho do sistema, bem como implementar soluções
de segurança e de restauro em caso de perdas. É feita referência às redes por ethernet e
s/fios e como configurar ambas da melhor forma. São também enumerados os passos para
a instalação do sistema, desde a criacção de partições, passando pela instalação de software
de sistema, até à instalação e configuração de aplicações e serviços de segurança (anti-
vírus, anti-spam, políticas de acesso em rede e web, prevenção de abuso de recursos, entre
outros).
No capítulo 5 é definida a rede de estudo, sem segurança. O sistema escolhido para análise
e implementação é aqui apresentado, e definido toda a sua configuração. Também neste
capítulo é possível demonstrar como o sistema está vulnerável, face a uma configuração se
segurança básica e vulnerável a ataques.
O capítulo 6 consiste na reconfiguração da rede de estudo, aplicando as correcções
necessárias para eliminar as vulnerabilidades encontradas, e minimizar as possibilidades de
sucesso em caso de ataques ao sistema. Estas correcções passam por instalação de software
adicional (e-Trust), pela correcção das configurações das aplicações já instaladas
(spamhaus, shorewall), pelas actualizações de sistema (windows updates), e autenticação
dos utilizadores à infraestrutura.
O capítulo 7 corresponde às conclusões da tese, onde é referido todo o trabalho,
aprendisagem, problemas encontrados e respectivas soluções, bem como uma análise
pessoal do tema em causa face à actual situação dos sistemas de informação em relação à
segurança informática.
-
6
-
7
2. VULNERABILIDADES E AMEAÇAS
Para compreender as vulnerabilidades e ameaças, é necessário relembrar, que os
computadores, independentemente do seu avanço tecnológico, são apenas máquinas que
trabalham com instruções predeterminadas. Os sistemas operativos e outros pacotes de
software, são simplesmente, instruções compiladas que o computador usa, transformando
input em output. Um computador, não pode determinar, a diferença entre entradas
autorizadas e não autorizadas, salvo quando tal informação está escrita nas instruções.
Posto isto, qualquer software que um utilizador pode modificar, ou ter acesso (que não foi
especificamente concebido pelo software) é chamado vulnerabilidade. Na maioria dos
casos, um intruso ou hacker, obtém acesso a uma rede ou computador, através da
exploração uma vulnerabilidade. É possível aceder remotamente a um computador, em
qualquer dos 65535 portos.
À medida que a tecnologia do hardware e software continua a evoluir, no intuito de o
tornar mais segura, o "outro lado" continua a procurar a e descobrir novas vulnerabilidades.
Por esta razão, a maioria dos fabricantes de software, continuam a produzir correcções
(patchs) para os seus produtos, à medida que novas vulnerabilidades são descobertas.
-
8
As potenciais ameaças costumam definir-se nas duas seguintes categorias [1][4]:
- Ameaças estruturadas – Ameaças que são planeadas e focalizadas para um alvo
específico, sendo um esforço organizado, para entrar numa rede ou numa organização
específica.
- Ameaças não estruturadas – Esta ameaça é a mais comum, visto ser aleatória e ser o
resultado dos hackers que procuram um alvo por oportunidade. Com a abundância de
scripts que estão disponíveis na Internet, estes podem ser usados, para efectuar pesquisas
às redes desprotegidas em busca de vulnerabilidades. Porque os scripts estão disponíveis
livremente e funcionam com poucos recursos, na óptica do utilizador e de hardware, estes
são usados extensamente através da Internet. Muitas ameaças não estruturadas, não são de
uma natureza maliciosa, ou para nenhuma finalidade específica. Muitas vezes começam
como de “a oportunidade faz o ladrão” se tratasse, sendo muitas vezes hackers
principiantes que querem ver o que podem fazer.
2.1. VULNERABILIDADES DE SOFTWARE
Muitas vulnerabilidades relacionadas com software, podem ser evitadas aplicando-se
técnicas de engenharia de software, durante o processo do desenvolvimento deste,
antecipando possíveis ataques. Por exemplo, colocação de parâmetros de verificação, que
podem ser incorporado no software para impedir ataques por buffer overflow.
Alguns problemas relacionados com software são descritos em seguida [1][2]:
• Permissões sem controlo – Se os utilizadores tiverem permissões instalar ou correr
software na rede, este é mais vulnerável aos vírus, interacções inesperadas do
software, e à subversão de controlos da segurança, como os cavalos de Tróia.
• Teste de software – Um o processo rígido e formal para testar software, é
necessário para determinar a compatibilidade, com aplicações feitas ou instaladas,
ou para identificar interacções não previstas. Este procedimento, deve também
aplicar-se, para que se possa efectuar melhoramentos do software ou dos
procedimentos de segurança deste [27].
• Utilitários de software – Utilitários de software, podem comprometer a
integridade de sistemas e controlo de acesso, quando usados indevidamente.
-
9
Utilitários que permitem testar as vulnerabilidades de um sistema, quando usados
com fins duvidosos, pode ser prejudiciais. Posto isto o uso destes utilitários deve
ser controlado por políticas de segurança nomeadamente permissão ou proibição de
instalar e/ou correr software nos sistemas.
• Software de armazenamento seguro – Uma combinação de controlo de acesso
físico e lógico, deve ser implementado para assegurar que as cópias de segurança
ou backups sendo extraviadas, não permitam o acesso aos dados. Hoje em dia,
pode-se limitar o acesso ao software de armazenamento, por permissões de acesso,
e encriptar os dados dos dispositivos de armazenamento, quer por software quer por
hardware.
As vulnerabilidades de software, podem ser exploradas para obter acesso não autorizado
aos recursos, e aos dados dos sistemas da informação. Alguns exemplos da exploração das
vulnerabilidades de software podem ser [8]:
• Sistemas Operativos “Avanced IBM Unix” (AIX) – As palavras-chave podem
ser expostas por comandos diagnósticos.
• Servidor Novell Web – Um intruso, pode causar um DoS buffer overflow
enviando, uma grande quantidade de pedidos GET para a porta de administração
remota. Isto, faz com que os dados enviados, que não sejam processados ficam em
memória como código executável.
• Sistemas Operativos “Silicon Graphics Unix” (IRIX) – Uma vulnerabilidade de
“buffer overflow” permite o acesso à raiz do sistema operativo pelo intruso.
• Windows 9x – A vulnerabilidade permite a um intruso localizar o sistema, e as
palavras-chave do screensaver, fornecendo-lhe os meios necessários para obter
acesso não autorizado.
• Windows NT, XP, 2Kx – Software de obtenção do modo de privilégio usado por
um intruso, pode fazer com que obtenha acesso administrativo ao sistema
operativo.
-
10
2.2. ATAQUES
Os motivos para ataques externos aos sistemas, são numerosos e variados. Estes vão do
hacker principiante, atraído pelo desafio, ao profissional, altamente habilitado, e que visam
o acesso a uma determinada organização, com uma finalidade específica (tal como o crime
organizado, o espionagem industrial, ou pelo simples prazer, de conseguir expor as
limitações de segurança).
As ameaças podem ser de origem externa ou interna a uma organização. As ameaças
externas, visam a tentativa de acesso a uma organização pela Internet, ou através do acesso
de dialup. As ameaças internas, originadas dentro de uma organização, são geralmente o
resultado dos comportamentos dso empregados, ou outro pessoal que têm acesso
autorizado, aos recursos internos da rede. Estudos existentes [3][4][8], indicam que as
ameaças internas realizadas por empregados existentes, ou por antigos empregados, são
responsáveis pela maioria dos incidentes da segurança da rede, na maioria de organizações.
São três os principais tipos de ataques da rede, tendo cada um o seu próprio objectivo
específico:
• Ataques por reconhecimento – Este tipo de ataque não está projectado para
ganhar acesso a um sistema ou rede, mas somente procurar e encontrar
vulnerabilidades que de pode vir a explorar mais tarde.
• Ataques por obtenção de acesso – Este ataque está projectado, para explorar uma
vulnerabilidade, e ganhar acesso a um sistema ou rede. Após ter ganho acesso, o
utilizador pode:
- Recuperar, alterar, ou destruir dados.
- Adicionar, remover, ou alterar recursos da rede, incluindo alterações do tipo de
acesso a utilizadores.
- Instalar outras ferramentas que podem ser usadas mais tarde, para conseguir
acesso à rede.
• Ataques por negação de serviço (DoS) – Um tipo de ataque projectado, para
causar unicamente interrupções de serviço, em computadores ou redes, para depois
obter acesso a estes, passando despercebido.
-
11
2.2.1. ATAQUES POR RECONHECIMENTO
O objectivo deste tipo de ataque, é executar o reconhecimento de um computador ou de
uma rede. O objectivo deste reconhecimento, é determinar a composição da estrutura do
computador ou da rede, a atingir, e efectuar o levantamento das vulnerabilidades
existentes. Um ataque por reconhecimento, pode indicar um potencial ataque mais
invasivo, ou seja, a preparação para o ataque principal. Muitos ataques por reconhecimento
são feitos por scripts, que permitem que os hackers lancem ataques a redes apenas com
alguns cliques do rato.
De seguida são apresentados alguns dos ataques mais comuns por reconhecimento:
• Pedidos Domain Name Service (DNS) [3] – Um pedido de DNS fornece ao
utilizador não autorizado, informação sobre como o endereço que é atribuído a um
determinado domínio e o que informações este possui, como por exemplo registos
A (www), MX (mail), etc. Sites como www.DNSstuff.com, permitem obter a
informação necessária relactivamente aos endereços de uma organização.
• Ping sweeps – Um ping sweep diz ao utilizador não autorizado, quantos hosts estão
activos na rede. É possível bloquear os pacotes ICMP nos dispositivos activos, mas
deixa-se de ter a possibilidade de detectar os defeitos da rede. Ferramentas como
Free IP Scanner by Eusing, permitem efectuar estas análises.
• Pesquisa vertical de portas – Este envolve fazer uma pesquisa das portas de
serviço de um único host e pedir serviços diferentes em cada porto. Este método
permite que o utilizador não autorizado, determine que tipo de sistema operativo e
serviços estão a correr no computador. Ferramentas como Portscan ou NMAP
permitem efectuar esta pesquisa, assim como as duas seguintes.
• Pesquisa horizontal de portas – Este envolve efectuar uma pesquisa a uma gama
de endereços para um porto ou um serviço específico. Uma pesquisa horizontal
muito comum é o scan ao ftp. Isto é feito através de uma pesquisa a um segmento
da rede, e procurar respostas às tentativas de conexão no porto 21.
• Pesquisa por bloqueios – Este ataque é uma combinação da pesquisa vertical e
horizontal, ou seja, faz uma pesquisa a um segmento da rede e tenta establecer
ligações em múltiplas portas em cada host desse segmento.
-
12
2.2.2. ATAQUES POR OBTENÇÃO DE ACESSO
Como o próprio nome indica, o objectivo deste ataque [4][8] é obter acesso a um
computador ou a uma rede. Com este acesso, o utilizador pode executar muitas funções
diferentes, funções estas, que podem ser agrupadas em três categorias distintas:
• Intercepção – Ao conseguir acesso não autorizado a um recurso, pode-se ter
acesso a dados confidenciais, tais como registos de pessoal, folhas de pagamentos,
ou projectos de pesquisa e de desenvolvimento. Logo que um utilizador ganhe
acesso, pode ler, escrever, copiar, ou mover dados. Se um intruso conseguir acesso,
a única forma de proteger os dados é encriptá-los o que pode pelo menos impedir
que o intruso os possa ler.
• Modificação – Conseguindo acesso, o intruso pode alterar o recurso. Isto inclui não
alterar apenas o conteúdo de um ficheiro, mas também alterar configurações de
sistema, acessos não autorizados ao sistema, e alteração de privilégios [4]. O acesso
não autorizado ao sistema é conseguido através da exploração das vulnerabilidades
deste ou do seu software. Denomina-se por acesso não autorizado sempre que um
utilizador com um de nível baixo de privilégios, tenta obter um nível mais
privilegiado para conseguir informação, ou aumentar o seu nível de privilégios [4].
Isto dá-lhe um controle superior sobre o sistema ou rede que está a atacar.
• Construção – Com acesso a um sistema ou rede, o intruso pode criar objectos
falsos e introduzi-los no ambiente. Isto pode incluir alterar dados ou introduzir
façanhas empacotadas tais como um vírus, worm, ou Trojan Horse (cavalo de
Troia), que faça com que possa continuar a atacar a rede por dentro.
- Vírus – Os vírus informáticos vão desde os irritantes aos destrutivos. Consistem
em código de computador que se une a outro software que corre no computador
(ficheiros executáveis do sistema operativo ou e-mails, etc.). Desta forma, sempre
que o software corre, o vírus reproduz-se e pode continuar a crescer até que ele
bloqueie o computador infectado. Os Chernobyl e Spacefiller são exemplos de
virus que provocam estragos elevados nas organizações.
- Worm – O worm é um vírus que explora as vulnerabilidades em sistemas ou redes
replicando-se por estas. Um worm faz uma pesquisa à rede, e procura um
computador com vulnerabilidades específicas. Quando encontra um computador
-
13
com essa vulnerabilidade, copia-se para esse computador iniciando, de novo, o
mesmo processo a partir deste. Os Mydoom e Blaster, são exemplos de worms em a
acção é reiniciar os sistemas.
- Trojan Horse – Um Trojan Horse (Cavalo de Tróia) é um programa que
geralmente reivindica o executar de uma função (tal como um jogo) mas faz algo
completamente diferente (como corrupção de dados do disco duro). Os efeitos
destes programas variam desde a irritação menor do utilizador, à destruição total do
sistema de ficheiros do computador. Os Cavalos de Tróia são usados às vezes para
explorar sistemas, criando contas de utilizador nos sistemas de modo a que um
intruso possa obter acesso ou definir o seu nível de privilégios. Os Keylogger e
Backdoor, são exemplos de cavalos de Tróia.
- SPAM – O termo Spam, abreviação em inglês de “spiced ham” (presunto
condimentado), é uma mensagem electrónica não solicitada enviada em massa. O
spam é também a designação universal atribuída a correio electrónico (e-mail), de
teor quase sempre comercial, não solicitado [1]. Normalmente é enviado em massa
para dezenas, centenas e até milhares de endereços de e-mail em simultâneo,
fazendo com que os servidores de e-mail, e linhas de comunicações fiquem
sobrecarregados. Seguidamente apresenta-se um exemplo de um e-mail de spam:
Hello!
We would like to offer V_I_A_G_R_A soft tabs,
These pills are just like regular Vìagra but they are specially
formulated to be soft and dissolvable under the tongue. The pill is
absorbed at the mouth and enters the bloodstream directly instead
of going through the stomach. This results in a faster more
powerful effect which lasts as long as the normal. Soft Tabs also
have less sidebacks (you can drive or mix alcohol drinks with
them). You can get it at: http://a1medz.com/st/?coupon
No thanks: http://a1medz.com/rr.php
2.2.3. DENIAL OF SERVICE (DOS)
Um ataque DoS (negação de serviço) [5] tem em vista negar o acesso de utilizadores a
computadores ou redes. Estes ataques geralmente têm como alvo serviços específicos ou
tentativa de os desabilitar, sendo feitos inúmeros pedidos concorrentemente. Se um sistema
-
14
não está protegido e não pode reagir a um ataque DoS, ele pode ser muito facilmente
bloqueado ao correr scripts que geram múltiplos pedidos.
É possível aumentar exponencialmente um ataque DoS com lançamento de vários sistemas
contra um único alvo. Esta prática é chamada de um ataque de negação de serviço
distribuído (DDoS) [5]. Uma prática comum pelos hackers é usar um Cavalo de Tróia para
assumir o controlo de outros sistemas e sincroniza-los para um ataque DDoS. Como
exemplos o Ping flood ou Syn Flood. Entre os vários tipos de ataques DoS, destacam-se os
seguintes;
- Ping of Death - Também conhecido por long Internet Control Message Protocol
(ICMP), envia repetidamente mensagens maiores que os 65.536 bytes permitidos
pelo IP. Como exemplo de ferramenta para este ataque é o sPing.
- Buffer Overflow - Provoca um overflow no buffer do sistema atacado colocando lá
mais dados do que é esperado pela aplicação. Foi detectada não há muito tempo
uma vulnerabilidade no Outlook Express que explorava esta situação [29]. Como
exemplos para este ataque são o Code Red, Slapper e Slammer.
- DDoS (Distributed DoS) - Igual ao DoS mas com um conjunto de vários sistemas
semelhantes a efectuarem ataques DoS a um só sistema. Este tipo de ataque é mais
vulgar com o advento de novas topologias de rede (ADSL, cabo, etc.)
2.2.4. COMO EVITAR ATAQUES DOS OU DDOS?
Infelizmente pouco se pode fazer para evitar este tipo de ataques. A melhor defesa actual é
a prevenção e contra medidas. A maior parte dos sistemas operativos actuais
implementaram já actualizações que minimizam os efeitos destes ataques [5].
2.2.5. ATAQUE “MAN IN THE MIDDLE” (MITM)
Uma das formas de por em causa a segurança de uma rede é o do ataque do MITM (Man-
In-The-Middle), que basicamente consiste em colocar na transmissão, entre dois ou mais
participantes, sem que estes se apercebam disso, um meio para escuta, alteração de dados,
roubo de sessões, etc., de preferência um computador. Poderá afirmar-se que esta é uma
boa forma de fazer espionagem numa rede, mas convém referir que só é possível fazê-lo
em Local Area Networks (LANs), isto é, não é possivel efectuar este ataque, por exemplo,
-
15
entre um computador da LAN e um servidor de e-mail da Internet. Mesmo assim, com a
abertura que existe hoje em dia com as redes WiFi, que em certos locais tais como
universidades ou cyber-cafes, têm um grande volume de utilizadores, podem ser um alvo
apetecível a este género de ataques [15].
2.2.6. ARP POISONING E ARP SPOOFING
O Address Resolution Protocol (ARP) [8] é um protocolo que permite a identificação de
máquinas na rede, através da conversão do endereço na Internet (Internet Protocol ou IP),
no endereço físico do dispositivo (Medium Access Control ou MAC). O ARP mantém uma
tabela com os relacionamentos entre IPs e MACs, associando-os. Desta forma, um
potencial intruso, ao tentar enviar tramas ARP adulteradas, poderá conseguir colocar-se
como intermediário numa comunicação, e consequentemente, adulterar a tabela,
associando, por exemplo, um IP a um endereço físico de um dispositivo seu. A partir deste
momento o intruso, pode fazer-se passar pela máquina vítima. Este mecanismo é designado
por ARP poisoning, uma vez que foram adulteradas entradas ARP, gerando ataques do tipo
“Man In The Middle”. [5]
O processo anterior descreve o ataque quando a comunicação é efectuada na rede local.
Este ataque, pode também ser efectuado quando a máquina vítima pretende estabelecer,
uma comunicação para fora da rede local. Neste caso é atacada a default gateway, ficando
a máquina que está a fazer o ataque com o controlo da comunicação, denominando-se este
tipo de ataque por ARP spoofing, que utiliza consulta e redireccionamento de entradas
ARP.
2.2.7. DHCP SPOOFING
O serviço Dynamic Host Configuration Protocol (DHCP) [5][8] é usado para a atribuição
dinâmica de endereços IP às máquinas da rede, assim como informações do dns e do
default gateway. Desta forma, permite que as configurações de rede das máquinas sejam
atribuídas automaticamente quando o computador é ligado à rede, sendo essa gestão
definida no servidor. O DHCP é um protocolo que usa UDP e não suporta qualquer tipo de
autenticação. Apesar de ter alguma complexidade, para efectuar um ataque MITM basta
modificar as informações da máquina vítima [5]. Por exemplo, modificar o endereço do
dns para o endereço IP da máquina que está a efectuar o ataque (DNS Spoofing) ou
modificar o endereço do default gateway para o IP do intruso.
-
16
2.2.8. DNS SPOOFING E DNS POISONING
O serviço DNS é utilizado na resolução de nomes, ou seja, é responsável por associar um
nome simbólico a um endereço IP. Este serviço responde a pedidos de resolução de nomes,
tanto a resolução directa (dado o nome, devolve o endereço IP) como a inversa (dado um
IP, devolve o nome). O ataque MITM é baseado na modificação da resposta do DNS.
Quando uma máquina pergunta ao DNS qual o IP para um determinado nome, a máquina
que está a efectuar o ataque pode interceptar o pedido e enviar uma resposta manipulada.
Para efectuar este tipo de ataque MITM é necessário conhecer o formato dos pacotes DNS,
pois vai ser necessário criar um novo pacote com o ID do pacote interceptado. Este
mecanismo apenas funciona quando se intercepta a resposta porque o cliente que efectuou
o pedido tem a informação do ID do pacote que vai receber, pois no caso de o ID não ser o
esperado o pacote é descartado.
Ataques do tipo DNS poisoning podem incidir sobre a manipulação das listas de
actualizações dinâmicas dos DNSs ou no envio de pedidos de actualização [3].
2.2.9. REDIRECCIONAMENTO DE ICMP
O redireccionamento do tráfego ICMP pode ser efectuado quando o intruso pretende
direccionar o tráfego para o exterior. Para isso, forja um ICMP redirect para todos os
membros da rede, forçando a que todos comuniquem, por exemplo, por ele.
Assim o intruso pode receber todas as conexões e possivelmente redireccioná-las para o
exterior. É de se notar, que este ataque apenas funciona num sentido, visto o tráfego entre
uma gateway e uma máquina da rede não poder ser redireccionado.
2.3. DETECÇÃO DE PALAVRAS-PASSE
As palavras-passe ou chaves, utilizadas para autenticar utilizadores, garantindo a sua
identidade, são muitas vezes fáceis de deduzir ou descobrir utilizando ferramentas e regras,
facilmente acessíveis da internet. Deste modo, deve-se pensar nas chaves previamente
(para correr o risco de na altura definir uma chave demasiado simples ou então uma que se
esqueça posteriormente). Estas chaves devem ser fáceis de lembrar, mas que ao mesmo
tempo não façam referência a pessoas ou objectos pessoais. Devem ter um elevado grau de
complexidade (não utilizar palavras, isto é, cojuntos de caracteres que perfazem uma
-
17
estrutura que se descubra com ataques do tipo dicionário), procurando utilizar letras,
números e caracteres especiais (#, @, _, entre outros). Para melhor compreender este
fenómeno e a importância de definir chaves seguras, vamos de seguida enunciar alguns dos
tipos de ataques a palavras-passe existentes [4].
2.3.1. DEDUÇÃO
A tentativa de adivinhar as palavras-chave, é dos mecanismos mais usados para autenticar
utilizadores, no acesso a um sistema de informação, sendo as palavras-chave uma
aproximação comum e eficaz do ataque [9]. O acesso à palavra-chave de uma pessoa pode
ser obtido, olhando em volta da sua mesa, procurando notas com a palavra-chave, ou usar a
lógica para descobrir a palavra-chave de acesso. Em vez de utilizar força bruta, o hacker
usa uma abordagem do tipo tentativa e erro, manualmente, com as palavras-chave mais
prováveis. Para isso ele dispõe de três dados fundamentais:
1º.- Pelo menos 1 em cada 30 utilizadores usa o login igual a palavra-chave, ou seja de o
utilizador de chama Pedro, coloca como palavra-chave “Paulo”.
2º.- Grande parte dos administradores usam uma palavra-chave padrão para os sistemas,
que vêm, por exemplo, com equipamentos e não são alteradas.
3º.- A maioria das palavras-chave estão relacionadas ao login, ou seja se o utilizador se
chama Paulo Silva, é problavel que o login seja Paulo e a palavra-chave “Silva”
2.3.2. SNIFFERS DE REDES
Para acelerar a transmissão dos dados que entram nas redes, são agrupados em pacotes. O
hacker cria ou usa programas chamados sniffers que monitorizam a circulação desses
pacotes nas redes, e procuram palavras que possam ser palavras-chave. Quando encontra,
o programa copia o pacote e envia-o para o computador do hacker. Os dados, mesmo que
cheguem encriptados, é muitsd vezes possível desencripta-los e aceder à informação
original [15].
2.3.3. FORÇA BRUTA
A obtenção de palavras-chave por força bruta supõe a utilização de meios para o efeito,
como software que usando uma aproximação aleatória, tenta palavras-chave diferentes, na
expectativa que lhe conceda a autorização necessária. Em determinados casos, alguma
-
18
lógica pode ser aplicada, para que as palavras-chave sejam relacionadas ao nome da
pessoa, ao título do trabalho, aos passatempos, matrículas dos automóveis, ou a outros
artigos similares [9].
2.3.4. ATAQUE DE DICIONÁRIO
O ataque de dicionário usa como base as palavras mais comuns de um dicionário, como
palavra-chave, na tentativa de se obter, o desejado acesso a um computador ou à rede de
um utilizador. Uma aproximação, é copiar uma linha com a palavra-chave encriptada e
usar directamente essa linha directamente na tentativa de validar o acesso, ou seja,
aplicando a mesmo encriptação a um dicionário de palavras-chave geralmente usadas,
comparando os resultados. Este tipo de ataque pode ser automatizado [15].
2.4. ENGENHARIA SOCIAL
No que diz respeito aos ataques informáticos internos, os intrusos poderão levar os
utilizadores finais a executar ataques muitas vezes sem darem por isso, em vez de
perderem tempo a procurar e encontrar vulnerabilidades nos sistemas.
Este tipo de ataque usa habilidades sociais para obter informação tal como palavras-chave
ou Personal Identification Numbers (PIN´s) (números a ser usados de encontro aos
sistemas de informação). Como exemplo, um intruso pode, depois de obter contactos ou
outra informação de uma organização, (ex: internet ou lista telefónica) abordar
telefonicamente empregados dessa organização, muitas vezes identificando-se como
“administrador de sistemas” ou “técnico da informática” pedindo as palavras-chave ou
PIN´s para o uso em operações da manutenção. Os seguintes casos são exemplos
adicionais de ataques de engenharia social [1]:
• Usar telefone ou e-mail para o intruso se fazer passar por uma pessoa (geralmente
alguém do suporte técnico ou um superior da pessoa atacada) que precisa de
determinadas informações para resolver um suposto problema;
• E-mails a empregados de um intruso, que pede palavras-chave porque o trabalho
tem que ser feito sobre o sistema no fim-de-semana.
-
19
• E-mails ou chamadas telefónicas de um intruso, que se identifica como um oficial
ou chefe, que está conduzir uma investigação para a organização, e requer palavras-
chave para a investigação.
• Um técnico de reparação de computadores, que convence o utilizador que o disco
duro do seu PC está danificado e é irreparável, instalando um novo disco duro para
o utilizador, efectuando posteriormente um exame do disco duro original para
extrair a informação e vender a informação a um concorrente ou a um governo
estrangeiro
• Aproveitar informações divulgadas na Internet (lista de discussão por e-mail,
newsgroup, IRC) por um administrador ou utilizador que procura ajuda para
resolver algum problema na rede;
• Enviar programas maliciosos ou instruções especialmente preparadas para um
administrador ou utilizador, com o objectivo de abrir novas vulnerabilidades, na
segurança da rede ou obter o máximo de informação possível sobre ela (esta técnica
é particularmente eficaz quando a pessoa pede auxílio pela Internet);
• Navegar por websites (hypertext transfer protocol – http) ou repositórios de
ficheiros (file transfer protocol – ftp) em busca de informações úteis – muitas vezes
é possível encontrar descrições detalhadas da infra-estrutura e/ou documentos que,
por